Mặc dù Ủy ban Chứng khoán và Giao dịch Hoa Kỳ đã công bố hướng dẫn để quản lý an ninh mạng tốt hơn trong nhiều năm, các công ty đại chúng hầu như đã phớt lờ chúng. Và mặc dù các yêu cầu này có thể khó được đáp ứng, nhưng những công ty đã nỗ lực đã tạo ra giá trị cổ đông gần gấp 4 lần so với những công ty không có nỗ lực.
Bitsight và Diligent đã khảo sát hàng nghìn công ty đại chúng, tìm ra mối tương quan giữa trải nghiệm an ninh mạng và tổng lợi nhuận trung bình của cổ đông trong vòng 3 và 5 năm. (Nguồn: Bitsight)
Đó là kết luận của một cuộc khảo sát mới do Viện Bitsight và Diligent phối hợp thực hiện, có tựa đề “An ninh mạng, Kiểm toán và Hội đồng quản trị.” Cuộc khảo sát đã đi sâu vào hơn 4,000 công ty vừa và lớn trên khắp thế giới, điều tra chuyên môn của các giám đốc cùng với kiến thức nền tảng của các thành viên ủy ban kiểm toán và rủi ro chuyên môn. Họ đã đo lường kiến thức chuyên môn về an ninh mạng dựa trên 23 yếu tố rủi ro khác nhau, chẳng hạn như sự hiện diện của lây nhiễm botnet, máy chủ lưu trữ phần mềm độc hại, chứng chỉ mã hóa lỗi thời cho giao tiếp qua Web và email cũng như mở cổng mạng trên các máy chủ công khai.
Ladi Adefala, nhà tư vấn an ninh mạng và Giám đốc điều hành của Omega315, người đồng ý: “Các hội đồng thực hiện giám sát không gian mạng thông qua các ủy ban chuyên môn với một thành viên chuyên gia mạng thay vì dựa vào toàn bộ hội đồng có nhiều khả năng cải thiện tình hình bảo mật tổng thể và hiệu quả tài chính của họ”. với kết luận của báo cáo. Ông làm việc cho một công ty Fortune 500 về vấn đề này và nhận thấy rằng “hội đồng quản trị không có một ủy ban tập trung để dành thời gian tìm hiểu các chủ đề mạng. Họ cũng không có đủ thành viên và do đó không đủ khả năng để thành lập các ủy ban chuyên trách về mạng,” ông nói. Một phần công việc tư vấn của ông là giúp thành lập những ủy ban như vậy, cái mà ông gọi là cung cấp các bài học về công dân trên mạng.
Bên cạnh nguồn lực con người, quản trị an ninh mạng kém không thực sự là tin tức: Các công ty đại chúng đã dành ít thời gian cho an ninh mạng trong nhiều năm. Ví dụ, chuyên gia bảo mật David Froud đã viết về chủ đề này ít nhất là từ năm 2017. Nhưng điều mới là thấy việc đánh giá kiến thức mạng và xây dựng khả năng quản trị lâu dài khó đến mức nào.
Theo báo cáo của Bitsight, việc có các ủy ban hội đồng riêng biệt tập trung vào rủi ro chuyên môn và tuân thủ kiểm toán sẽ mang lại kết quả tốt nhất. Các tác giả viết: “Các ủy ban này có vị trí tốt hơn để đi sâu vào các vấn đề an ninh mạng cụ thể và họ có thể phát triển mối quan hệ bền chặt hơn với các giám đốc điều hành chịu trách nhiệm về các hoạt động an ninh mạng hàng ngày. Ngược lại, điều này có thể dẫn đến chính sách, ngân sách liên quan đến an ninh mạng tốt hơn và các quyết định khác được đưa ra ở cấp hội đồng quản trị.”
Cuộc khảo sát cho thấy nhiều trải nghiệm mạng giữa các công ty liên quan đến dịch vụ tài chính và chăm sóc sức khỏe – được xếp hạng cao nhất – so với các công ty công nghiệp được xếp hạng thấp nhất.
Điều đáng nói là đại đa số các công ty đã làm rất kém trong việc tích hợp những chuyên gia như vậy vào ban giám đốc và ủy ban của họ. Báo cáo cho thấy 5% số người được khảo sát (và 12% các công ty thuộc S&P 500) có những chuyên gia này trong hội đồng quản trị của họ. Nhưng chỉ có CISO hoặc CTO trong hội đồng quản trị không đảm bảo được hiệu quả an ninh mạng. Bitsight lưu ý: “Những chuyên gia này cần được tích hợp vào các cấu trúc hiện có” và các biện pháp bảo vệ.
Không được đề cập trong báo cáo là một điểm yếu khác trong quản trị: xây dựng khả năng phục hồi mạng lâu dài. Đây là chủ đề của một cuộc khảo sát khác do Cơ quan An ninh mạng tại Hiệp hội Nghiên cứu Sloan của MIT và được đăng trên tạp chí Harvard Business Review năm ngoái. Nhóm MIT đã khảo sát 600 thành viên hội đồng quản trị và nhận thấy họ còn thiếu sự tương tác với CISO. Chưa đến một nửa số người được hỏi có liên hệ thường xuyên với CISO của họ, hầu hết chỉ giới hạn ở các bài thuyết trình được thực hiện tại các cuộc họp hội đồng quản trị và không nhiều nội dung khác.
Trong nhiều trường hợp, những bài thuyết trình này chỉ giới hạn ở cơ chế của các biện pháp bảo vệ, chẳng hạn như tần suất họ tiến hành các bài tập của đội đỏ hoặc đào tạo nhận thức về lừa đảo. Keri Pearlson, giám đốc điều hành của tập đoàn MIT và đồng tác giả (với Lucia Milică, CISO thường trú toàn cầu tại Proofpoint) của bài báo HBR, rút ra sự tương đồng với thế giới y tế: “Khi chúng ta tiếp xúc với một bệnh nhiễm trùng, chúng ta hoặc là không ' Nếu chúng ta không bị bệnh, hoặc nếu chúng ta bị bệnh, các bộ phận trong cơ thể chúng ta sẽ tự động hoạt động để giúp chúng ta khỏe mạnh trở lại.”
Cô cho biết thêm, điều cần thiết là “hội đồng thảo luận về các rủi ro do an ninh mạng gây ra trong tổ chức của họ và đánh giá các kế hoạch quản lý những rủi ro đó”.
Như Adefala đã tóm tắt, “Cách hấp dẫn nhất là tận dụng an ninh mạng như một tài sản chiến lược để tạo doanh thu hoặc vận hành linh hoạt, thay vì như một nhu cầu cần thiết trong hoạt động”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value
